نرم افزار جاسوسی Chinotto

یک تهدید بدافزار کاملاً جدید که به عنوان جاسوس‌افزار Chinotto ردیابی می‌شود، در حملات علیه فراریان کره شمالی، خبرنگارانی که اخبار مرتبط با کره شمالی و سایر نهادهای کره جنوبی را پوشش می‌دهند، مشاهده شده است. این بدافزار به‌عنوان یک تهدید در مرحله آخر عمل می‌کند که به سیستم‌هایی که قبلاً نقض شده‌اند قربانیان هدف تحویل داده می‌شود. عملکرد اصلی Chinotto شامل ایجاد کنترل بر دستگاه در معرض خطر، جمع آوری اطلاعات حساس مختلف از آن، و استخراج داده ها به یک سرور Command-and-Control (C2, C&C) است.

کمپین حمله به گروه APT37 تهدید دائمی پیشرفته (APT) با حمایت دولتی نسبت داده می شود. جامعه infosec همچنین این گروه خاص جنایت سایبری مرتبط با کره شمالی را با نام ScarCruft، InkySquid، Reaper Group و Ricochet Chollima ردیابی کرده است. این عملیات حمله اخیر بسیار هدفمند است. بازیگر تهدید از حساب‌های جمع‌آوری‌شده فیس‌بوک برای تماس با افراد منتخب استفاده کرد و سپس یک ایمیل فیشینگ برای آنها ارسال کرد.

ایمیل های خراب حاوی یک سند فریبنده بود که ظاهراً مربوط به امنیت ملی کره جنوبی و وضعیت همسایه شمالی آنها است. هنگامی که کاربر سعی می کند سند مسلح شده را باز کند، یک ماکرو مخفی فعال می شود و زنجیره حمله آغاز می شود. محققان Infosec عملیات APT37 را کشف و تجزیه و تحلیل کردند. بر اساس یافته‌های آنها، از چندین تهدید بدافزار استفاده شده است که در مراحل مختلف حمله مستقر شده‌اند.

لازم به ذکر است که گونه ای از تهدید Chinotto برای آلوده کردن دستگاه های اندرویدی طراحی شده است به طور مشخص. هدف مهاجمان یکسان است - به دست آوردن اطلاعات حساس و ایجاد روال جاسوسی در دستگاه تلفن همراه. نسخه اندروید از طریق حملات smishing منتشر شد و کاربران هدف را بر آن داشت تا طیف گسترده ای از مجوزهای دستگاه را به آن اعطا کنند. در صورت موفقیت آمیز بودن، تهدید می تواند به لیست مخاطبین کاربر، پیام ها، گزارش تماس ها، ضبط صدا و موارد دیگر دسترسی داشته باشد. این نرم افزار جاسوسی همچنین داده ها را از چندین برنامه هدفمند مانند Huawei Driver، KakaoTalk و Tencent WeChat (Weixin) جمع آوری می کند.